訊息公告


ISOinsight 網管暨維運支援平台

中大型 IT/OT智能維運監控網路管理

關鍵字: ISOinsight, FCAPS, 智能維運, 智慧網管, 伺服器監控, 網路監控, 存取管控, IOT管控, 流量分析, 效能管理, 環境監控, ISO27000, ISMS, 風險管理, 無線漫遊, 無線網管, AAA認證

 

企業IT/OT智能維運

FCAPS 智慧網路管理設計

章節

  • FCAPS網路管理設計
  • 網管叢集運算佈署
  • ML機器學習自動化機制
  •  

FCAPS網路管理設計

依據ITU-T(國際電信聯盟-電信標準部)定義網路管理系統提供的五個通用的管理功能FCAPS(Fault, Configuration, Accounting, Performance and Security,錯誤、配置、計帳、性能和安全),包括 :

  • FM(Fault Management,故障管理)

具有對故障的檢測、快速定位、隔離故障點並進行修復等功能,其功能涉及本地及遠端的所有網路元件。能將維護消息及時通知有關用戶。

在故障管理標準中,網路問題被發現並修正。潛在的未來問題被識別,並防止它們發生或複發。這種方式下,網路能保持運作並把停止工作時間減到最小。

故障管理最重要的實現方式是告警管理。告警管理對整個系統運行狀況進行集中監控,及時採集鏈路、數據、服務等異常信息。當故障出現或某指標超過預先設置的門限時,告警管理系統即產生告警信息。告警信息是系統運行過程中出現的各種故障或異常的提示信息。維護人員可藉助告警信息定位並排除故障,以保障系統的穩定運行。告警對應的問題或故障解決後,系統自動返回告警恢復消息。

本系統除了針對設備或鏈路異常進行警報管理之外, 可選配故障管理流程(Ticketing)與風險管理(Risk management)套件: 以軟體定義事件觸發、通報、結案、簽核、鑑識、風險評估及知識庫管理

 

  1.  事件觸發
    • 定義事件觸發條件, 建立基準值
    • 未處理數、處理中、未結案數
  2. 告警
    • 事件觸發時即時發出告警
    • 可軟體定義告警頻率
    • SMS、聲音、視窗彈出、社群軟體
  3. 追蹤
    • 操作員處理過程
  4. 偵錯
    • 處理建議
    • 偵錯資訊視窗
  5. 結案
    • 保存事件紀錄與稽核流程
  6. 鑑識
    • 進行事件鑑識分析
    • 風險彙整與評鑑報告
    • 知識庫管理

 

  • CM(Configuration Management,配置管理)

組織網路運轉所需要的資源和數據,保證網路設備的基本配置:監控具體的配置、按照具體情況改變配置、設置系統參數、收集並存儲各參數、報告與基本配置值的偏差、起動和關閉資源等。

1. 系統設備參數備份機制

  • ISOinsight具備 設備組態備份與回存管理, 可針對單位廣域、區域網路設備組態, 以手動或定期自動進行備份,可儲放連續5個不同時間點版本

  • Script腳本管理 : 可進行編輯設備組態tftp備份腳本 與 還原腳本。
  • TFTP server: 如下圖, 它的用途是網路設備韌體、組態備份結果的儲存目錄顯示
  • 顯示該網路設備 TEXT 組態

2. 系統設備參數集中控管及更新、派送機制

  • 手動命令派送:
  • 勾選 挑選設備, 然後click點擊 派送   即可進行該設備參數設定script進行派送

3. 組態設定變更警報

ISOinsight具備網路設備參數組態進行備份時, 系統除了進行稽核紀錄外, 結果發出email依據備份清單通知備份結果與前一版本之組態進行對照、標明差異。

  • AM(Accounting Management,計費管理)

依據預定的收費標準對用戶使用的各種資源進行計費,並開出收費通知。計費分為在線計費 和離線計費   

1. 網路設備存取控制

  • 可以監控設備項目包括廣域、區域網路設備、軟/硬體系統管理設備及服務均納入統一管理, 如下圖即時顯示納管數量與狀態
  • 使用各式的檢測器機制, 完成上述設備監控, 並可以拓樸圖顯示健康狀態

2.網路設備運作監控

  • 提供直覺化、圖形化、全中文化之操作介面, 如下圖:

  • 具備IP、組織群組定義, 階層化顯示管理,包含整體網路監控拓樸, 高可視性 - 網路傳輸服務管理說明如下:
    • 高可視性維運操作
      • 自動拓樸圖 (plug & play納管與展示)
      • 保護  (設備/BYOD/IOT物聯網)
      • 偵錯找尋 (IP關聯)
      • 事件與警報 (彙整中心)
      • 儀錶板

    • 多元情境拓樸圖顯示

      • 自動拓樸圖 (支援CDP/LLDP)
      • 廣域VPN服務地圖式拓樸圖
      • 設備故障處理(顯示設備序號與供應商)
      • 單層/雙層列表式
      • 虛擬機房拓樸圖
  • 提供批量設定模式, 可對單一/多重網路設備操作進行調整介面

 

  • PM(Performance Management,性能管理)

本系統支援豐富的性能管理, 可以達成以下的目的

  1. 評定通信網路及各種網路元件的性能,如介面流量、Flow流量、QoS、時延特性。
  2. 通過對採集到的全網性能數據進行統計分析,用戶可以及時掌握設備的運行狀況,發現性能瓶頸,為日常維護、網絡優化和擴容提供數據支持。
  3. 用戶可以進行對比分析,及時發現設備運行和運營上的問題,在性能越限時發出告警,並為上層決策分析提供有力的依據。

流量分析顯示, 頻寬即時使用狀態,傳輸鏈路穩定度監測, 效能管理傳輸及分析說明如下:

①介面流量

    • 聯外電路(VPN)
    • 骨幹流量(光纖)
    • 流量比較(日,周,月, 季, 年)

②IP flow流量 (連線行為監控)

    • 支援netflow/sflow/jflow
    • 流量排行、交叉分析
    • 外網L4~7軟體定義應用服務分析(FortiNET、SOPHOS、JUNIPER第七層NGN防火牆整合)
    • 與介面流量對應分析(頻寬耗用分析)
    • 群組流量比較分析
    • 總連線數量圖: 群組之間(client/server, 組織之間) IP flow 使用量趨勢分析圖, X-時間軸, Y軸-會談數、Bytes、封包數值

Note: IP flow 流量與效能的分析, 必須具備 NPM extend license, 更多的資訊成參考 NPM edition內容說明

③介面管理, 支援更多網管數據

    • 設備網管數據 - 包括介面TX/RX, RMON等數據收集
    • 介面/光纖網管數據 - 可針對DDM/DOM SFP光纖介面進行運作數據收集
    • 系統管理數據 - 如inf, MRTG, 聯外電路, 光纖骨幹, 介面別名等管理數據
    • ARP(MAC/IP)監聽數據 - 介面MAC/ARP數量與數據

 

  • SM(Security Management,安全管理)

保證網絡正常運行,信息不被外界竊取和破壞,包括對收、發方的合法身份的驗證以及訪問控制、網內加密等

  1. 權限層級管控

ISOinsight提供管理員權限層級管控機制, 包括:

  • 管轄之設備範圍: 依據組織定義之網路範圍定義制定不同權限之身分,並限制所能監控及管理的設備, 設定如下圖: 先制定IP組織架構, 管理員再由IT權限管理範圍進行拉選。
  • 管理權限與職權 – 定義所能更動的功能服務內容, 包括:
  1. 系統權限 - 限制管理員操作權限
    ❷管理員UI設定(如下圖)與拓樸圖的使用

  1. 人員認證機制

ISOinsight具備 完善資安AAA機制(認證Authentication, 授權Authorization, 紀錄Accounting). 機制如下圖:

Note: 本項軟體功能需具備airPASS授權, 功能詳見airPASS產品說明

  1. 關於紀錄備份機制

系統提供遠端NAS備份機制, 可以進行手動或自動定時備份與災難復原

  • 設定NAS遠端IP、目錄、Login ID、Password
  • 系統顯示遠端NAS硬碟: 位置、總容量(KB) 、已用(KB) 、可用(KB)、使用率、狀態
  • 啟用資料定期備份, 輸入備份間隔時間 (預設 1 天)
  1.  系統管理記錄

提供系統操作紀錄, 針對管理員的系統操作與設備納管修正進行詳細記錄

  1.  端末裝置存取管控

ISOinsight具備端末裝置存取管控機制, 示意圖下圖: (多面向存取管控 NAC method)

Switch port lock – 交換埠綁定 ……… (Layer 1)
ARP enforcer – 固定MAC/IP綁定驗證 (Layer 2)
DHCP enforcer – DHCP MAC驗證 ….. (Layer 3)
Identity auth. – 有/無線身分基礎認證 (Layer 7)

Note: 本項軟體功能需具備NAC edition 授權, 功能詳見NAC edition 產品說明

 

網管叢集運算佈署

ISOinsight 支援企業前瞻邊際網路維運與安全防護應用架構, 可以安裝與運行在獨立實體機或虛擬機, 也可以中心/邊緣軟體定義的角色分散方式遠端佈署於資料中心網路(Data center)、校園網路(Campus),以及駐外分據點(Branch), 形成整體企業/機關/學校之IT/OT智能網路維運叢集。角色說明:

邊緣運算」, 獨立的分析主機(Analyzer)內建/外掛網管檢測器(Probe collector)或以API Data Exchange整合第三方應用系統以功能互補方式形成為完善的維運運算解決方案, 如上圖: 整合不同品牌有/無線交換器系統整合AIOps套件後, 取得自動化裝置探查精靈 及 有/無線網管第七層服務流量統計與異常分析能力。

中心運算」, 聚合「邊緣運算」形成整體營運叢集, 軟體定義訊息交換的格式與時機, 收集企業邊際業務或網管數據, 無限擴展企業整體IT/OT智能營運能力, 以大數據與AIOps協助企業運用數據力量提升企業運籌帷幄, 提高IT部門營運績效, 這也將是未來十年的IT主要技術發展趨勢。

依據企業網路架構, 設計「中心運算」或「邊緣運算」資訊流, 如上圖說明

邊緣運算」 - 定義為企業邊際區域網路內IT維運運算及相關管控措施。職司企業邊際網路路由、監聽、發現、收集、管控、資安、結案、回報。

中心運算」 - 定義為企業雲端網路內IT維運資訊流的彙整統計分析運算及中心指揮派送暨相關管理措施。職司企業邊際網路維運與資安狀態日誌彙整、大數據儲存分析、異常預測發現、維運與資安事件追蹤、資訊儀錶板展現。

 

ML機器學習自動化機制

ISOinsight 使用 ML機器學習自動化技術。遵循Gartner定義AIOps 將網管數據和機器學習相結合,"以自動化IT操作流程,包括事件關聯,異常檢測和因果關係確定。"

結合機器學習(Machine Learning)到網路管理營運的應用, netvision正邦公司的ISOinsight推出NOIA(Network Operation Intelligence Architecture) - AIOps網絡營運智能架構, 結合機器學習技術, 掌握IT/OT網路環境下IP使用歷史軌跡、Device辨識資產納管建立網路流量基準。套件以IP組織建構開始, 啟動網路檢測器以被動偵測或主動掃描方式, 收集IP連線與行為流量追蹤統計, 並以此精準識別各種已知納管與未知連網裝置, 符合以ISO27000 ISMS基礎IT/OT場域維運規範。配合「邊緣運算」叢集佈署, scale up 企業IT與OT維運的規模

邊際網路 – 邊緣運算

  • 路由(邊緣運算主機佈署)

主要功能:Netflow probe 1:1 IP流量紀錄分析。

  • SPAN mode – 以旁路sniffer/mirror方式接入區域網路
  • Bridge mode – 以橋接方式接入區域網路
  • NAT mode – 以NAT接入區域網路
  • 監聽(網路ARP/multicast資訊)
    • 設置802.1Q進行ARP/multicast廣播/群播偵測
    • 進行白名單比對發現未授權設備
    • IP歷史追蹤與回收
  • 掃描發現 (網路設備資訊或狀態取得)

以SNMP, PING, TCP hello, WMI, VMtool, HTTP method, agent等方式

      • 存活監控 – 驗證設備或服務的存活
      • 數值檢測 – 擷取設備介面等相關運作狀態值
      • 效能監控 – Performance counter, 獲取設備或服務效能反應值, 例如:伺服器CPU%, 資料庫Cache hit rate%等.
  • 行為日誌收集 (netflow/sflow)
    • 流量日誌 – 自網路設備NAT/traffic log收集 鏡像流量運算獲取
    • 設備日誌 – 網路設備運行日誌, 資訊主機agent回報
    • 回報 – 依資訊流特性設定及時或定時上送雲運算.
  • 管控與保護 (網路存取管控)

AI智慧學習預防(Prevention)與保護(Protection)的手段

    1. 設備屬性管理 – 設備屬性, 資料庫, 行為模式, 生命週期
  • VLAN/網段 – 設備(MAC/IP)白名單存取策略
  • TCP行為 – 目的主機白名單存取策略
  • 聯合管控 – 藉由設備智慧偵測功能的運行, 聯合預防維運危害事件的發生, 例如: 交換器DHCP snooping, Loopback detection等
  • 阻斷策略 - 「埠」「ARP阻斷」「交換路由器ACL」「TCP reset」「VSA回應」
  • 設備組態備份與回復
  • 認證(端點無線上網)
    • Authenticator – 扮演認證閘道角色或結合無線控制器或智慧交換器進行身分認證 (AD, LDAP, RADIUS, OpenID, Gmail)
    • Roaming – 認證漫遊, iTaiwan/TANETroaming/EDUroaming等
    • 註冊 – 結合認證進行BYOD註冊上網白名單
    • 稽核 – 用戶在線、上下線人事時地物行為紀錄
  • 異常感知 (發現異常)
    • 區域運算維運或資安事件偵測
    • 雲運算維運或資安事件偵測或預測
    • AI智慧運算情境設計
  • 結案 (維運或資安事件清除 )
    • 維運事件結案
    • 資安通報事件結案
    • 友善與連續性操作
  • 回報 (資訊或資料回報雲運算)
    • 定時與即時的回報機制
    • 維運與資安事件
    • 維運狀態與偵測值
    • 設備日誌
    • 警報中心
      • Mail, SMS, Windows PopUP, LINE notify, 警報方式
      • 依設備設置警報群組
    • 運營報表 & 生成管理
      • IT運營指標報表
      • IT運營事件週期性報表
      • IT運營設備清冊
      • IT運營設備運營狀態週期性報表
      • 資安通報統計報表

中心機房 – 中心運算

以下可規劃邊緣運算聚合網管數據, 並提供客製化服務協助企業IT與OT達到訊息智能啟發及維運的自動化

  • 大數據儲存
    • 日誌儲存全文索引
    • 叢集儲存與容錯
    • 聚合運算與趨勢分析
  • AI情境設計
    • 事件觸發模式
    • 大數據聚合與觸發
    • NOC維運中心
  • 拓樸圖與美工背景圖儀表板展現
    • 機房資訊系統綜合儀表板
    • 網路服務儀表板
    • 聯外電路儀錶板
    • 維運事件處理儀表板
    • 儀錶板客製化
  • SOC資安中心
    • 資安通報綜合現況儀表板
    • 資安事件處理與追蹤儀表板
    • 儀錶板客製化
    • 警報中心
      • Mail, SMS, Windows PopUP, LINE notify, 警報方式
      • 依設備設置警報群組
      • 整合區域運算警報派送與回報結案追蹤管理